Konfigurace nastavení IPSec

Při použití IPSec, bezpečnostního rozšíření IP protokolu, lze zabránit třetím stranám, aby neoprávněně zadržovaly nebo manipulovaly s IP pakety přemísťovanými v IP síti. Jelikož IPSec rozšiřuje o bezpečnostní funkce IP protokol, základní protokol používaný pro internet, poskytuje zabezpečení, které je nezávislé na aplikacích nebo na konfiguraci sítě. Chcete-li na tomto stroji spustit komunikaci s IPSec, musíte zadat nastavení, jako jsou parametry aplikace a algoritmus pro ověřování a šifrování. Pro zadání těchto nastavení jsou vyžadována přístupová práva administrátora nebo administrátora sítě NetworkAdmin.


Režim komunikace Pro komunikaci s IPSec tento stroj podporuje pouze transportní režim. Jsou tak ověřovány a šifrovány pouze datové části IP paketů. Protokol výměny klíčů Tento stroj podporuje IKEv1 (Internet Key Exchange version 1) pro výměnu klíčů na základě ISAKMP (Internet Security Association and Key Management Protocol). Jako ověřovací metodu zadejte metodu předsdíleného klíče nebo metodu digitálního podpisu. Při nastavování metody předsdíleného klíče se musíte předem rozhodnout pro přístupové heslo (předsdílený klíč), používané mezi strojem a komunikačním partnerem IPSec. Při nastavování metody digitálního podpisu použijte pro provádění vzájemného ověření mezi strojem a komunikačním partnerem IPSec certifikát CA a klíč a certifikát formátu PKCS#12. Bližší informace o ukládání nových certifikátů CA nebo klíčů/certifikátů viz v Uložení klíče a certifikátu pro síťovou komunikaci. Upozornění. Před použitím této metody se musí pro stroj nastavit SNTP. Nastavení SNTP

Režim komunikace

Pro komunikaci s IPSec tento stroj podporuje pouze transportní režim. Jsou tak ověřovány a šifrovány pouze datové části IP paketů.

Protokol výměny klíčů

Tento stroj podporuje IKEv1 (Internet Key Exchange version 1) pro výměnu klíčů na základě ISAKMP (Internet Security Association and Key Management Protocol). Jako ověřovací metodu zadejte metodu předsdíleného klíče nebo metodu digitálního podpisu.

Při nastavování metody předsdíleného klíče se musíte předem rozhodnout pro přístupové heslo (předsdílený klíč), používané mezi strojem a komunikačním partnerem IPSec.

Při nastavování metody digitálního podpisu použijte pro provádění vzájemného ověření mezi strojem a komunikačním partnerem IPSec certifikát CA a klíč a certifikát formátu PKCS#12. Bližší informace o ukládání nových certifikátů CA nebo klíčů/certifikátů viz v Uložení klíče a certifikátu pro síťovou komunikaci. Upozornění. Před použitím této metody se musí pro stroj nastavit SNTP. Nastavení SNTP


Bez ohledu na nastavení <Formátovat způsob šifrování na FIPS 140-2> bude pro komunikaci IPSec bude šifrovací modul, který již získal certifikaci FIPS140-2. Aby komunikace IPSec vyhovovala standardu FIPS 140-2, musíte nastavit délku klíče DH a RSA pro komunikaci IPSec na 2 048 bitů nebo více v síťovém prostředí, do kterého stroj náleží. Ze stroje lze zadat pouze délku klíče pro DH. Při konfiguraci svého prostředí si dělejte poznámky, protože ve stroji nejsou nastavení pro RSA. Registrovat můžete až 10 bezpečnostních postupů.

Bez ohledu na nastavení <Formátovat způsob šifrování na FIPS 140-2> bude pro komunikaci IPSec bude šifrovací modul, který již získal certifikaci FIPS140-2.

Aby komunikace IPSec vyhovovala standardu FIPS 140-2, musíte nastavit délku klíče DH a RSA pro komunikaci IPSec na 2 048 bitů nebo více v síťovém prostředí, do kterého stroj náleží.

Ze stroje lze zadat pouze délku klíče pro DH.

Při konfiguraci svého prostředí si dělejte poznámky, protože ve stroji nejsou nastavení pro RSA.

Registrovat můžete až 10 bezpečnostních postupů.

Stiskněte

(Nastavení/Uložení).

Stiskněte tlačítko <Možnosti>

<Síť>

<Nastavení TCP/IP>

<Nastavení IPSec>.

Nastavte <Použít IPSec> na <Zap> a stiskněte <Uložit>.

Zadejte název pro zásadu.

Stiskněte <Název zásad zabezpečení>, zadejte název a stiskněte <OK>.

Multifunkční tiskárny Canon podporují dvě délky klíče pro metodu šifrování AES: 128 bitů a 256 bitů. Chcete-li omezit délku klíče na 256 bitů a splnit standardy ověřování CC, nastavte <Pouze Povolit 256-bit pro délku klíče AES> na <Zap>.

Nastavte parametry aplikace IPSec.

Stiskněte tlačítko <Nastavení voliče>.

Zadejte IP adresu, pro kterou se má použít zásada IPSec.

Zadejte IP adresu tohoto stroje v <Lokální adresa> zadejte IP adresu komunikačního partnera v <Vzdálená adresa>.

<Všechny IP adresy>	IPSec se použije na všechny odeslané a přijaté IP pakety.
<Adresa IPv4>	IPSec se použije na IP pakety odeslané na a přijaté z adresy IPv4 tohoto stroje.
<Adresa IPv6>	IPSec se použije na IP pakety odeslané na a přijaté z adresy IPv6 tohoto stroje.
<Všechny adresy IPv4>	IPSec se použije na IP pakety odeslané na a přijaté z adresy IPv4 komunikačního partnera.
<Všechny adresy IPv6>	IPSec se použije na IP pakety odeslané na a přijaté z adresy IPv6 komunikačního partnera.
<Ruční nast. IPv4>	Zadejte adresu IPv4, pro kterou se má použít IPSec. Vyberte <Jedna adresa> pro zadání individuální adresy IPv4. Vyberte <Rozsah adres> pro zadání rozsahu adres IPv4. Zadejte samostatnou adresu pro <První adresa> a <Poslední adresa>. Vyberte <Nastavení podsítě> pro zadání rozsahu adres IPv4 s použitím masky podsítě. Zadejte samostatné hodnoty pro <Adresa> a <Maska podsítě>.
<Ruční nast. IPv6>	Zadejte adresu IPv6, pro kterou se má použít zásada IPSec. Vyberte <Jedna adresa> pro zadání individuální adresy IPv6. Vyberte <Rozsah adres>, chcete-li zadat rozsah po sobě jdoucích adres IPv6. Zadejte samostatnou adresu pro <První adresa> a <Poslední adresa>. Vyberte <Zadat prefix> pro zadání rozsahu adres IPv6 s použitím předpony. Zadejte samostatné hodnoty pro <Adresa> a <Délka prefixu>.

Zadejte port, pro který se má použít IPSec.

Stiskněte <Zadat podle čísla portu>, chcete-li používat čísla portů při zadávání portů, pro něž se má používat IPSec. Vyberte <Všechny porty>, chcete-li používat IPSec pro všechna čísla portů. Chcete-li IPSec používat pro určité číslo portu, stiskněte <Jeden port> a zadejte číslo portu. Po zadání portů stiskněte <OK>. Zadejte port tohoto stroje v <Lokální port> a zadejte port komunikačního partnera v <Vzdálený port>.

Stiskněte <Zadat podle názvu služby>, chcete-li používat názvy služeb při zadávání portů, pro něž se má používat IPSec. Vyberte službu v seznamu, stisknutím <Služba Zap/Vyp> ji nastavte na <Zap> a stiskněte <OK>.

Stiskněte tlačítko <OK>.

Zadejte nastavení ověřování a šifrování.

Stiskněte tlačítko <Nastavení IKE>.

Zadejte potřebná nastavení.

<Režim IKE>

Zde vyberte operační režim pro protokol výměny klíčů. Když je operační režim nastaven na <Hlavní>, vede to ke zvýšení bezpečnosti, protože samostatná relace IKE je zašifrována, ale na komunikaci je kladeno vyšší břemeno ve srovnání s <Agresivní>, která šifrování neprovádí.

Nastavte dobu uplynutí platnosti generované IKE SA.

<Způsob ověření>

Zde vyberte jednu z níže uvedených metod ověřování.

<Metoda předsd. klíče>	Nastavte stejné přístupové heslo (předsdílený klíč), které je nastaveno pro komunikačního partnera. Stiskněte <Sdílený klíč>, zadejte řetězec znaků, který se má používat jako sdílený klíč, a stiskněte <OK>.
<Metoda dig. podpisu>	Nastavte klíč a certifikát, který se má používat pro vzájemné ověřování s komunikačním partnerem. Stiskněte <Klíč a certifikát>, vyberte klíč a certifikát, který se má používat, a stiskněte <Nastavit jako výchozí klíč> <Ano> <OK>.

Zde výběrem <Auto> nebo <Ruční nastavení> nastavte způsob zadávání algoritmu ověřování a šifrování pro IKE fáze 1. Jestliže vyberete <Auto>, algoritmus, který může používat jak stroj, tak komunikační partner, se nastaví automaticky. Chcete-li zadat konkrétní algoritmus, vyberte <Ruční nastavení> a proveďte níže uvedená nastavení.

<Ověření>	Vyberte hashovací algoritmus.
<Šifrování>	Vyberte algoritmus šifrování.
<DH Group>	Vyberte skupinu pro Diffieho-Hellmanovu metodu výměny klíčů pro nastavení síly klíčů.

Stiskněte tlačítko <OK>.


Pokud je <Režim IKE> nastaveno <Hlavní> na obrazovce <Nastavení IKE> a <Způsob ověření> na <Metoda předsd. klíče>, používají se následující omezení, při registraci několikanásobných bezpečnostních postupů. Klíč metody předsdíleného klíče: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, jsou všechny sdílené klíče pro tuto zásadu zabezpečení identické (to neplatí, když je zadána jediná adresa). Priorita: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, je priorita této zásady zabezpečení nižší než u zásad zabezpečení, pro něž je zadána jediná adresa.

Pokud je <Režim IKE> nastaveno <Hlavní> na obrazovce <Nastavení IKE> a <Způsob ověření> na <Metoda předsd. klíče>, používají se následující omezení, při registraci několikanásobných bezpečnostních postupů.

Klíč metody předsdíleného klíče: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, jsou všechny sdílené klíče pro tuto zásadu zabezpečení identické (to neplatí, když je zadána jediná adresa).

Priorita: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, je priorita této zásady zabezpečení nižší než u zásad zabezpečení, pro něž je zadána jediná adresa.

Proveďte nastavení komunikace s IPSec.

Stiskněte tlačítko <Nastavení sítě IPSec>.

Zadejte potřebná nastavení.

Nastavte dobu uplynutí platnosti generované IPSec SA. Je třeba vybrat buď <Čas>, nebo <Velikost>. Pokud nastavíte oboje, použije se nastavení s hodnotou, jíž je dosaženo jako provní.

<PFS>

Nastavíte-li funkci PFS (Perfect Forward Secrecy) na <Zap>, tajnost šifrovacího klíče se zvýší, ale komunikační rychlost bude nižší. Funkci PFS je navíc třeba aktivovat na zařízení komunikačního partnera.

Zde výběrem <Auto> nebo <Ruční nastavení> nastavte způsob zadávání algoritmu ověřování a šifrování pro IKE fáze 2. Vyberete-li <Auto>, algoritmus ověřování a šifrování ESP se nastaví automaticky. Chcete-li zadat konkrétní ověřovací metodu, stiskněte <Ruční nastavení> a vyberte jednu z níže uvedených ověřovacích metod.

<ESP>	Provádí se ověřování i šifrování. Vyberte algoritmus pro <Ověření ESP> a <Šifrování ESP>. Vyberte <NULL>, nechcete-li nastavit algoritmus pro ověřování nebo šifrování.
<ESP (AES-GCM)>	Jako algoritmus ESP se použije AES-GCM a provádí se ověřování i šifrování.
<AH (SHA1)>	Provádí se ověřování, ale data nejsou šifrována. Jako algoritmus se používá SHA1.

Stiskněte tlačítko <OK>

<OK>.

Aktivujte uložené zásady zkontrolujte pořadí priority.

Vyberte uložené zásady ze seznamu a stisknutím <Zásady zab. Zap/Vyp> je nastavte na <Zap>.

Zásady se používají v pořadí, v jakém jsou uvedeny v seznamu počínaje zásadou nahoře. Chcete-li pořadí priority změnit, vyberte zásadu v seznamu a stiskněte <Zvýšit prioritu> nebo <Snížit prioritu>.

Nechcete-li odesílat nebo přijímat pakety, které neodpovídají zásadám, vyberte <Odmítnout> pro <Přijmout pakety bez zásad zabezpečení>.

Stiskněte tlačítko <OK>.

Stiskněte tlačítko

(Nastavení/Uložení)

<Použít změny nast.>

<Ano>.


Správa zásad IPSec Zásady můžete měnit obrazovce uvedené v kroku 3. Chcete-li změnit detaily zásady, vyberte zásadu v seznamu a stiskněte <Editovat>. Chcete-li zásadu deaktivovat, vyberte zásadu v seznamu a stiskněte <Zásady zab. Zap/Vyp>. Chcete-li zásadu odstranit, vyberte zásadu v seznamu a stiskněte <Smazat> <Ano>.

Konfigurace nastavení IPSec

Režim komunikace

Protokol výměny klíčů

Správa zásad IPSec